2026 年 07 月 14 日
2026 年度末開始予定の「SCS 評価制度」対象事業者に求められる対策とは?【前編】
~ サプライチェーン強化に向けたセキュリティ対策評価制度、策定の背景と概要を解説~
はじめに
近年、企業におけるサプライチェーンマネジメントの重要性が急速に高まる中、取引先や委託先を経由したサイバー攻撃「サプライチェーン攻撃」が急増しています。大企業は高度なセキュリティ対策を講じていても、そのサプライチェーン上に存在するセキュリティ対策が脆弱な中小企業を狙って攻撃が仕掛けられる事例が後を絶ちません。
こうした状況を受け、経済産業省と内閣官房国家サイバー統括室は、サプライチェーン全体のセキュリティ水準を底上げするための新しい仕組みとして「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS 評価制度)」を策定し、2026 年 3 月 27 日に制度構築方針が公表されました。
本記事では、SCS 評価制度が策定された背景と目的、対象事業者に求められる具体的な対策の内容、そして実際に発生したサプライチェーン攻撃の事例をわかりやすく解説します。企業のセキュリティ担当者はもちろん、サプライチェーン上に委託先を持つ事業者の皆さまは、本制度を理解し今後のビジネスにお役立てください。
制度策定の背景
深刻化するサプライチェーン攻撃
独立行政法人情報処理推進機構(IPA)が毎年公表する「情報セキュリティ 10 大脅威」において、サプライチェーン攻撃は 2019 年に初めてランクインして以来、継続的に上位に選出されています。特に 2023 年から 2025 年にかけては 3 年連続で 2 位に選出されており、その深刻さが浮き彫りとなっています。
サプライチェーン攻撃の主な特徴は次のとおりです。
- 大企業本体を直接攻撃するのではなく、セキュリティ対策が行き届いていない取引先・中小企業を経由して侵入される
- 正規のネットワーク接続を悪用するため、攻撃の発見が遅れやすい
- 一度侵入が成功すると、被害がサプライチェーン全体に波及しやすい
- ランサムウェアによるシステムやデータの暗号化のほか、ノーウェアランサム手口のように機密情報を暗号化せずに窃取して身代金を要求するなど被害が起こる
また、日本企業は産業構造上、特にサプライチェーン攻撃に脆弱な側面があります。日本企業の 99% 以上が中小企業であり、大企業のサプライチェーンを支えています。しかし、これらの中小企業はセキュリティ投資における予算や専任人員が多くはなく、攻撃者にとって侵入しやすいターゲットとなっています。さらに、日本の製造業で特徴的な Tier1、Tier2、Tier3 など多層的な系列取引の構造も、セキュリティ管理を複雑にする要因となっています。
従来の対応策の限界
多くの企業は、取引先のセキュリティ対策を確認するために独自のセキュリティチェックシートを送付・回収してきました。しかし、この方法には以下のような深刻な課題があります。
従来のセキュリティチェックシート方式の課題
| 立場 | 主な課題 |
|---|---|
| 委託元(発注元)企業 |
|
| 委託先(受注先)企業 |
|
従来の対策では、取引先のセキュリティ対策状況を外部から客観的に判断することが難しいという委託元企業の課題と、複数の委託元から異なるチェックシートへの対応を迫られる委託先企業の負担という問題が顕在化しています。
これらの課題を解消するため、国が定めた共通基準で各企業のセキュリティ対策状況を「星(★)の数」で評価・可視化する新しい制度の必要性が高まりました。
SCS 評価制度の目的と概要
制度の位置付け
経済産業省および内閣官房国家サイバー統括室が公表した SCS 評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)は、サプライチェーンを構成する企業のセキュリティ対策状況を共通の基準で評価・可視化することで、委託元企業・委託先企業双方の負担を軽減しつつ、サプライチェーン全体のセキュリティ水準の底上げを図る仕組みとして位置付けられています。
具体的には、2 社間の取引契約などにおいて、委託元が委託先に対して適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認することを想定しています。
重要なポイント:この制度は「格付け制度」ではない
本制度は、企業のセキュリティ対策への対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたものではありません。あくまでも取引において必要なセキュリティ水準を明確にし、サプライチェーン全体の安全性を高めることが目的です。
また、本制度の取得は任意であり、法的な規制ではありません。
制度の対象範囲
本制度は、サプライチェーンを構成する企業などのIT 基盤(クラウド環境で運用するものも含む)を対象としています。全てのサプライチェーン企業が対象となりますが、特にセキュリティリソースが限られた中小企業にとって、この制度を活用することで得られるメリットが大きいと想定されています。
なお、一般的に IT 基盤に該当しないと考えられる製造環境などの制御(OT)システムや委託元などに提供する製品などについては、サプライチェーン全体での共通化が難しいことから直接の対象とはなっていません。これらについては、他の制度・ガイドラインに基づき対策を行うことが想定されています。
評価の段階(★の仕組み)
SCS 評価制度では、企業のセキュリティ対策レベルを★1〜★5 の 5 段階で示します。各段階の概要は以下のとおりです。
| 段階 | 評価方法 | 水準の目安 |
|---|---|---|
| ★1・★2 | 自己宣言(IPA の「SECURITY ACTION」に対応) | セキュリティの基本方針策定・公開など、比較的取り組みやすい自己宣言レベル。既存の制度で対応。 |
| ★3(新制度) | 専門家確認付き自己評価(有効期間 1 年) | 全ての企業が最低限実装すべき基本的なセキュリティ対策。要求事項 26 項目(評価基準 83 項目)。 |
| ★4(新制度) | 第三者評価機関による審査(有効期間 3 年) | 標準的に目指すべき対策。検知・対応・組織ガバナンスまで含む包括的対策。要求事項 56 項目(評価基準 157 項目)。 |
| ★5(検討中) | 2026 年度以降、内容を具体化予定 | より高度なサイバー攻撃への対応として、ベストプラクティスに基づく対策を実行する形を想定。 |
制度の運用体制
本制度は、経済産業省および内閣官房国家サイバー統括室の監督のもと、IPA が運営します。制度の運用体制には、運営方針を審議する「運営審議委員会」、登録・普及促進を担う「事務局」、評価機関などを指定・監督する「指定委員会」、★4 の第三者評価を行う「評価機関」、★3 で自己評価を確認するセキュリティ専門家が含まれています。
★3・★4 の申請受付開始は 2026 年度末頃(2027 年 1 月〜3 月頃)が予定されています。
中編では、対象事業者に求められる具体的な対策について解説します。
サイバートラストが提供する対策ソリューション
SCS 評価制度の要求事項は、NIST CSF をベースに構成されています。サイバートラストでは、「統治(Govern)」「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」のそれぞれのレベルに対応可能なソリューションを提供しています。

SCS 評価制度に対応可能な具体的なソリューションについては、「SCS 評価制度対策ガイド」をご参照ください。
SCS 評価制度対策ガイド 資料ダウンロード
本記事に関連するリンク









